कोबोल्ड लेटर्स: HTML-आधारित ईमेल फ़िशिंग हमले
31 मार्च 2024 को, लुटा सिक्योरिटी ने एक नए अत्याधुनिक पर प्रकाश डालते हुए एक लेख जारी किया फ़िशिंग वेक्टर, कोबोल्ड अक्षर। पारंपरिक फ़िशिंग प्रयासों के विपरीत, जो पीड़ितों को संवेदनशील बताने के लिए लुभाने के लिए भ्रामक संदेश पर निर्भर होते हैं करें- , यह संस्करण ईमेल के भीतर छिपी हुई सामग्री को एम्बेड करने के लिए HTML के लचीलेपन का फायदा उठाता है। सुरक्षा विशेषज्ञों द्वारा "कोयला पत्र" करार दिए गए, ये छिपे हुए संदेश ईमेल संरचना के भीतर अपनी सापेक्ष स्थिति के आधार पर खुद को चुनिंदा रूप से प्रकट करने के लिए दस्तावेज़ ऑब्जेक्ट मॉडल (डीओएम) का उपयोग करते हैं।
हालांकि ईमेल के भीतर रहस्य छिपाने की अवधारणा शुरू में अहानिकर या यहां तक कि सरल लग सकती है, वास्तविकता कहीं अधिक भयावह है। दुर्भावनापूर्ण अभिनेता इस रणनीति का फायदा उठाकर पता लगाने से बच सकते हैं और हानिकारक पेलोड वितरित कर सकते हैं। ईमेल बॉडी के भीतर दुर्भावनापूर्ण सामग्री को एम्बेड करके, विशेष रूप से अग्रेषित करने पर सक्रिय होने वाली सामग्री, अपराधी संभावित रूप से सुरक्षा उपायों से बच सकते हैं, जिससे मैलवेयर प्रसार या धोखाधड़ी योजनाओं को अंजाम देने का जोखिम बढ़ जाता है।
विशेष रूप से, यह भेद्यता मोज़िला थंडरबर्ड, वेब पर आउटलुक और जीमेल जैसे लोकप्रिय ईमेल क्लाइंट को प्रभावित करती है। व्यापक निहितार्थों के बावजूद, केवल थंडरबर्ड ने आगामी पैच पर विचार करके समस्या के समाधान की दिशा में सक्रिय कदम उठाए हैं। इसके विपरीत, Microsoft और Google ने अभी तक इस भेद्यता को हल करने के लिए ठोस योजनाएँ प्रदान नहीं की हैं, जिससे उपयोगकर्ता शोषण के प्रति संवेदनशील हैं।
जबकि ईमेल आधुनिक संचार की आधारशिला बनी हुई है, यह भेद्यता मजबूत ईमेल सुरक्षा उपायों की आवश्यकता पर प्रकाश डालती है। बढ़ते ईमेल खतरों के जोखिमों को कम करने के लिए बढ़ी हुई सतर्कता और सक्रिय उपाय आवश्यक हैं। इसके अतिरिक्त, सहयोग और सामूहिक कार्रवाई के माध्यम से साझा जिम्मेदारी और सक्रिय जुड़ाव की संस्कृति को बढ़ावा देना सुरक्षा को मजबूत करने की कुंजी है।
